Confronto di approcci e pratiche per la protezione dei dati personali in Russia e nell'UE
Infatti, con qualsiasi azione eseguita da un utente su Internet, si verifica una qualche forma di manipolazione dei dati personali dell’utente.
Non paghiamo per molti dei servizi che riceviamo su Internet: per cercare informazioni, per inviare e-mail, per archiviare i nostri dati nel cloud, per comunicare sui social network, ecc. Tuttavia, questi servizi sono gratuiti solo a determinate condizioni: paghiamo per loro con i nostri dati, che queste aziende poi trasformano in denaro, soprattutto attraverso la pubblicità.
Attualmente, i dati su sesso, età e luogo di residenza, cronologia delle ricerche -
la base per un’industria della pubblicità online del valore di miliardi di dollari ed euro. Cioè, da un punto di vista legale, i dati personali sono materiali per fare affari. Di conseguenza, le aziende compiono enormi sforzi e spendono ingenti somme di denaro per ottenere ed elaborare dati personali. I sondaggi condotti nel 2018 mostrano che gli utenti, comprendendo il valore dei propri dati personali, sono sempre più insoddisfatti del modo in cui le aziende trattano i propri dati personali.
La regolamentazione nel segmento dell'utilizzo dei dati degli utenti non ha ancora preso forma ed è in ritardo rispetto allo sviluppo della tecnologia non solo in Russia, ma in tutto il mondo, quindi l'equilibrio degli interessi dei consumatori e delle aziende nel "denaro - servizio - dati -money” viene costruito oggi sia dai regolatori che da accordi taciti tra società e aziende. Le autorità di regolamentazione stanno limitando le capacità delle aziende IT e ampliando i diritti degli utenti: introducendo nuove leggi che danno agli utenti un maggiore controllo sulle informazioni che forniscono.
È interessante confrontare gli approcci dei regolatori nei paesi europei e in Russia. In Russia, le principali norme che regolano il trattamento dei dati personali sono la Legge federale sulla protezione dei dati personali (152-FZ) più il Codice degli illeciti amministrativi, che stabilisce direttamente l'importo specifico delle sanzioni per la violazione della procedura di trattamento dei dati personali. . Le sanzioni amministrative sono aumentate in modo significativo dal 1° luglio 2017. Allo stesso tempo, sono state stabilite nuove sanzioni a seconda della tipologia di reato commesso. Pertanto, i funzionari possono essere multati per un importo da 3000 a 20 rubli, i singoli imprenditori - per un importo da 000 a 5000 rubli, le organizzazioni - per un importo da 20 a 000 rubli. Inoltre, possono essere ritenuti responsabili di vari reati. Di conseguenza, una società può essere soggetta a diverse sanzioni per diverse violazioni. Ma la responsabilità è prevista specificatamente in caso di mancato rispetto dei requisiti formali, ad esempio se mancano i documenti necessari. Ciò non è sempre direttamente correlato alla reale protezione delle informazioni. Ad esempio, una fuga di notizie di per sé non costituisce motivo di sanzione a meno che non vengano violate altre leggi. È interessante notare che un numero significativo di violazioni identificate nel campo del trattamento dei dati personali contengono i contenuti previsti dall'articolo 15 del Codice degli illeciti amministrativi della Federazione Russa: “Mancata presentazione o presentazione intempestiva a un ente statale (Roskomnadzor) - informazioni (informazioni), il cui conferimento è previsto dalla legge ed è necessario per l'espletamento delle attività giuridiche di questo organismo...” È interessante notare che una responsabilità molto maggiore è prevista non per la violazione della procedura di trattamento dei dati personali (come sopra indicato, si tratta in media di 000-75 mila rubli), ma specificamente per la mancata fornitura (ritardo, invio incompleto) di informazioni sulla La procedura per il trattamento dei dati personali a Roskomnadzor è soggetta ad una multa fino a 000 rubli. Quelli. nella legislazione russa e nella pratica della sua applicazione, la tendenza prevalente è “l’importante è che l’abito si adatti” e che i bisogni dello Stato siano soddisfatti. autorità in vari rapporti. I diritti reali degli utenti e la sicurezza dei loro dati personali su Internet sono scarsamente tutelati. Lo stesso ammontare delle multe non è correlato in alcun modo all'ammontare dei benefici ricevuti da alcune aziende quando violano il trattamento dei dati personali su Internet e non incoraggia il rispetto di queste regole.
Nell’UE il quadro è leggermente diverso. Da maggio 2018, in Europa, il lavoro con i dati personali è regolato dalle norme in materia di trattamento dei dati personali stabilite dal Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679 del 27 aprile 2016 o GDPR - Regolamento generale sulla protezione dei dati). Il regolamento ha effetto diretto in tutti i 28 paesi dell’UE. Il regolamento conferisce ai residenti dell’UE il pieno controllo sui propri dati personali. Secondo il GDPR, i cittadini e i residenti dell’UE hanno diritti molto ampi di controllo dei propri dati personali. Gli utenti europei hanno il diritto di chiedere conferma circa il fatto che è in corso un trattamento dei loro dati, il luogo e le finalità del trattamento, le categorie di dati personali trattati, a quali terzi i dati personali vengono comunicati, il periodo durante il quale i dati vengono comunicati verranno trattati, nonché chiarire l'origine del ricevimento dei dati personali da parte dell'organizzazione e richiederne la rettifica. Inoltre, l'utente ha il diritto di esigere che il trattamento dei suoi dati venga interrotto.
Da maggio 2018 responsabilità sotto forma di multe per violazione delle norme sul trattamento dei dati personali: secondo il GDPR la multa arriva a 20 milioni di euro (circa 1,5 miliardi di rubli) ovvero al 4% del fatturato globale annuo dell’azienda.
La cosa più importante è che tutto questo funzioni, le aziende che violano i diritti degli utenti sono ritenute responsabili e molto seriamente. Ad esempio, il 21 gennaio 2019, la Commissione nazionale francese per l’informatica e i diritti civili (CNIL) ha deciso di infliggere una multa di 50 milioni di euro alla società americana GOOGLE LLC per aver violato il GDPR. L'importo della sanzione è molto elevato. Ciò mostra chiaramente i rischi di non conformità ai requisiti GDPR. Per cosa sei stato punito? La Commissione francese ha stabilito che durante la configurazione iniziale di un dispositivo mobile con sistema operativo Android (Google), l'utente non riceve informazioni complete su ciò che Google fa con i suoi dati personali. La società non ha adempiuto agli obblighi di garantire la trasparenza nel trattamento dei dati personali e di informare i soggetti (articoli 12 e 13 GDPR). I periodi di conservazione dei dati degli utenti non sono strettamente regolamentati. La società non disponeva della base giuridica necessaria per il trattamento dei dati effettuato (articolo 6 GDPR). Google è stato anche accusato di aver ottenuto in modo improprio il consenso degli utenti al trattamento dei loro dati per personalizzare la pubblicità.
Altri esempi: una multa da parte dell'autorità di regolamentazione tedesca LfDI all'applicazione chat per incontrare Knuddels - 20.000 euro; l'ospedale portoghese Barreiro Hospital è stato accusato di aver gestito in modo improprio l'accesso a dati personali critici (multa di 300mila euro) e di aver violato la sicurezza e l'integrità di dati (altri 100mila euro). Le autorità del Regno Unito hanno emesso un avvertimento nei confronti di una società canadese impegnata nella ricerca analitica. Alla società è stato ordinato di interrompere il trattamento dei dati personali dei cittadini, altrimenti rischia una multa di 20 milioni di euro. La società canadese di marketing digitale e sviluppo software AggregateIQ è stata multata di £ 17000000. Un bar in Austria è stato multato di 5280 euro per videosorveglianza illegale (la telecamera ha ripreso parte del marciapiede). Quelli. qualsiasi organizzazione soggetta al GDPR non dovrebbe limitarsi, secondo la tradizione nazionale, solo allo sviluppo di documentazione normativa.
A proposito, la particolarità del GDPR è che si applica a tutte le aziende che trattano dati personali di residenti e cittadini dell'UE, indipendentemente dall'ubicazione di tale azienda, quindi le aziende russe dovrebbero considerare attentamente questo regolamento se i loro servizi sono focalizzati su il mercato europeo
Fonte: habr.com